2012年5月3日、PHP-CGI にコードのリモート実行の脆弱性があることが公開されました(CVE-2012-1823)。これは重大な脆弱性であり、PHP-CGI が含まれるソフトウェアに影響を与えます。脆弱性に該当するPHP(5.3.13と5.4.3未満)をご利用のお客様は、適切な対策、およびPHPのバージョンアップを推奨いたします。詳細はこちらをご覧ください。なお、PHP-FastCGI はこの脆弱性の影響を受けません。

上記を受け、Linux版Plesk バージョン9.0から9.2.3のPHP-CGI処理の脆弱性について、提供元のParallels社より報告および対策が発表されていますので、該当のPleskをご利用のお客様は対策をお願いいたします。

対象: Linux版Plesk(バージョン9.0から9.2.3)
条件: Web ホスティング設定(物理ホスティング設定)のページにおいて、PHP対応でCGIアプリケーションを設定している場合
危険性: 遠隔の第三者によって、php スクリプトの内容を取得される
サービス運用妨害 (DoS) 攻撃を受けたり、ウェブサーバの権限で任意のコードを実行される。

1.pleskにて、php-cgiを利用されているか確認します。

確認方法の手順は以下となります。

Pleskにログイン後、左パネル内の「ドメイン」をクリックすると、次画面でホスティングされているドメイン名の一覧が表示されますので、任意のドメインをクリックします。



ドメインの画面で、画面右側の「Web ホスティング設定」をクリックします。



物理ホスティング設定ページ のPHPのサービスのプルダウンで、「CGIアプリケーション」を設定されている場合は、PleskのPHP-CGIの脆弱性に該当します。



2.脆弱性の対策について

■ Pleskのバージョンアップの実施
Plesk9はライフサイクルポリシーの規定により、公式サポートが終了しておりますので、最新バージョンへのアップグレードを行っていただくか、新サーバーへ移行を推奨いたします。
※Pleskアップ データを用いた、Plesk9.2または9.3から9.5.4のバージョンアップはお客様のサーバーに影響がでる場合がございますので、お客様にて実施しないようお願い申し上げます。10に上げる場合には、メジャーバージョンの10.4.4、11に、上げる場合には、11.09以上へお願いいたします。

お客様にてアップグレード作業を行われ、Pleskが正常にアップグレードできない、または、正しく動作しないなどの問題が発生する場合もございます。
アップグレード作業を行われる場合は、必ずVPS等のバックアップを作成のうえ、作業頂きますようお願いいたします。ご自身での作業がご不安な場合には、有料スポットサポートでお承りしておりますので、 サポートセンター へお気軽にご相談ください。